[Windows 7-32 bit] Maleware gefunden (EXP/Java.Dldr.A [exploit] + TR/ATRAPS.Gen [trojan])

[Verzweifelte200]

*seufz* Heute muss ich leider mal wieder hier schreiben....

Ich habe heute mittag meinen (nahezu) täglichen Avira AntiVir-Suchlauf ausgeführt und es gab einen ersten Fund (auf dem Gastkonto):

Zitat:

Die Datei 'C:\Users\Cl*******\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\2\32872b42-49a1a7ac'
enthielt einen Virus oder unerwünschtes Programm 'EXP/Java.Dldr.A' [exploit].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4bbb1ab2.qua' verschoben!

Danach wollte ich noch schnell mein Adobe Flash Player Problem lösen, an welches mich mein Notebook schon seit gut 2 Wochen immer wieder erinnert und habe dazu die alte Version deinstalliert und die neueste Version neu installiert, was mir noch zusätzlich ein zweites Problem (und das auch noch auf dem Adminkonto) gebracht hat.

Zitat:

In der Datei 'C:\Users\4-Levels\AppData\Local\Temp\install_flash_player_32bit.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/ATRAPS.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff erlauben

Der Guard ist aber dabei gar nicht angesprungen obwohl er es angeblich gefunden hat und ich habe es nur zufällig im AntiVir bemerkt als ich jetzt diesen Beitrag übers erste Problem schreiben wollte....

Nachdem unbemerkten Trojaner hatte ich nochmals einen Avira Suchlauf gemacht (ohne Fund) und beginne jetzt gleich Phase I abzuarbeiten.

Wäre für jegliche Hilfe dankbar....

[Verzweifelte200]

1. RSIT
File-Upload.net - log.txt
File-Upload.net - info.txt

Und jetzt mache ich noch den Malewarebytes Suchlauf...das kann aber ein gutes Stündchen dauern.

[Verzweifelte200]

So, hier ist der Suchlauf von Malwarebytes (ohne Fund)
ich schaffe es leider nicht, die Datei irgendwo hochzuladen, deshalb poste ich sie vollständig hier:

Malwarebytes' Anti-Malware 1.51.2.1300
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Datenbank Version: 8132

Windows 6.1.7601 Service Pack 1
Internet Explorer 9.0.8112.16421

10.11.2011 19:11:03
mbam-log-2011-11-10 (19-11-03).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 281862
Laufzeit: 54 Minute(n), 6 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

[Der Leo]

Hallo Verzweifelte200,


Sieht soweit gut aus. Bitte einmal das hier tun.

OTL
Download: http://oldtimer.geekstogo.com/OTL.exe


1. Doppelklick auf die OTL.exe
2. User von Windows 7 und Vista: Rechtsklick als Administrator ausführen
3. Oben findest Du ein Kästchen mit Ausgabe. Wähle bitte Minimal-Ausgabe
4. Setze einen Haken Oben bei Scanne alle Benutzer.
5. Unter "Extra Registrierung wähle "Benutze SafeList"
6. Rechts unten Haken setzen bei "LOP Prüfung" und "Purity Prüfung "
7. Kopiere in die Textbox (ohen das Wort Code: )

Code:

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT

8. Klicke "Scan"
9. Es werden 2 Reporte erstellt:
10. OTL.Txt sowie Extras.Txt
Lade bitte das Logfile bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier im Forum.

[Verzweifelte200]

Hallo Leo!

Habe OLT nun ausgeführt (auf dem Adminkonto) und poste hier die Links zu den Reporten:
1. File-Upload.net - OTL.Txt
2. File-Upload.net - Extras.Txt

[Verzweifelte200]

PS: Gestern abend gab es noch ein automatisches Windows Update. Ich hoffe, das beeinflußt jetzt nicht meine obigen Ergebnisse?

[Der Leo]

Moin,

ich komme erst jetzt dazu die Logs durchzusehn. Nein die Windows Updates wirken sich nicht auf ergebnisse aus.

[Verzweifelte200]

Kein Problem! Dann warte ich mal auf weitere Anweisungen.
Den E-mail-Versand mache ich bis zur Klärung des Trojanerproblems eben aus dem Internetcafé um die Ecke und Online-Banken tu ich ja ohnehin nicht...

[Der Leo]

Hallo,

ist es von dir gewollte das im Internet Explorer Aldi.com als Startseite eingetragen ist?


Soweit sieht alles gut. Du kannst schonmal den Cache von Java leeren.
Löschen des Caches von Java Runtime Environment (JRE)

Danach folgen weitere Anweisungen...

[Verzweifelte200]

Zitat:

Zitat von Der Leo

ist es von dir gewollte das im Internet Explorer Aldi.com als Startseite eingetragen ist?

Das war zumindest eingestellt als ich das Notebook (gebraucht und auf den ersten Systemwiederherstellungszeitpunkt zurückgesetzt) gekauft habe. (Medion ist ja die Aldi-Marke). Da ich den Internetexplorer nie nutze, ist es wahrscheinlich deswegen noch eingestellt....

Zitat:

Zitat von Der Leo

Soweit sieht alles gut. Du kannst schonmal den Cache von Java leeren.
Löschen des Caches von Java Runtime Environment (JRE)

Ist erledigt! Ist es OK, dass die gelöschten temporären Dateien auf dem Computer belassen werden oder hätte ich da das Häkchen rausnehmen müssen?
Einen Java Plug-in-Cache (der im obigen Link erwähnt ist) scheine ich nicht zu haben, oder doch?

Noch zwei Dinge:
1. Am Sonntag hatte ich noch einen der hier empfohlenen Virenscanner BITDEFENDER drüberlaufen lassen (ohne Fund).
2. wenn ich mich aufs Adminkonto einlogge, sehe ich auf dem Desktop plötzlich zwei Dateien namens desktop.ini. Unter Eigenschaften sehe ich, dass sie schon älter sind, aber die waren bisher nie auf dem Desktop zu sehen....

[Der Leo]

Hallo,

Zitat:

Ist es OK, dass die gelöschten temporären Dateien auf dem Computer belassen werden

Wie darf ich das verstehen Wenn sie gelöscht sind, sind sie weg...
Oder was meinst du genau?

zu 1: Alles klar

zu 2: Die Desktop.ini Datei siehtst du normalerweiße nicht da diese Versteckt ist.
Google Suche ergab:

Zitat:

Die Versteckte Datei Desktop.ini gibt an, wie das Explorerfenster vom geöffneten Ordner aussieht.
Man kann z. B. die Farbe der Schrift festlegen oder ob ein Hintergrundbild zu sehen sein soll. Die Datei "Desktop.ini" wird nur angezeigt, wenn bei "Ordneroptionen" im Tabreiter "Ansicht" unter "Erweiterte Einstellungen" die Option Geschützte-Systemdateien ausblenden (empfohlen) deaktiviert wurde.

Also nichts gefährliches

Danach bitte so weiter machen.

Schritt 1
Combofix
Download: Combofix.exe

• Speicher die Combofix.exe auf dem Desktop und führe sie aus.
• User von Windows 7 und Vista: Rechtsklick als Administrator ausführen
• Vor dem Ausführen unbedingt alle Antiviren – Antispyware- Programme deaktivieren. Dies geht meistens per rechtsklick im Systemtray.
• Doppelklick auf die Combofix.exe und befolge die Anweisungen
• Es ist möglich, dass der PC während der Bereinigung neustartet.
• Nach dem Neustart erscheint eine Textdatei.
• Lade bitte das Logfile bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier im Forum.

Nicht vergessen nach dem Scan alle Antiviren – Antispyware- Programme wieder zu Aktivieren.

Schritt 2

ESET Online Scanner

[Verzweifelte200]

Zitat:

Zitat von Der Leo

Wie darf ich das verstehen Wenn sie gelöscht sind, sind sie weg...
Oder was meinst du genau?

Na, wenn ich den Cache von Java Runtime Environment leeren will, dann klicke ich doch folgendes an:

-> Systemsteuerung
-> Programme
-> Java
und dann wähle ich unter "Temporäre Internetdateien" Einstellungen, um dort die Dateien zu löschen.
Und wenn ich das tue, dann steht da in der Box, in der ich "Dateien löschen" anwählen kann, ganz oben als Auswahlmöglichkeit "Temporäre Dateien auf dem Computer belassen" und es ist auch schon ein Häkchen gesetzt.
Ich wollte nun wissen, ob es richtig war, das Häkchen drin zu lassen, wenn ich die Dateien lösche oder hätte ich es rausnehmen sollen? Dann muß ich es nämlich nochmals machen.

[Verzweifelte200]

Hallo Leo,

weiter geht´s.... Drei Dinge:

1. Combofix habe ich gemacht. Hier ist das Logfile:
File-Upload.net - ComboFix.txt
Eine Datei (AppData\Local\Tep\ScrF359.tmp) konnte dabei nicht gefunden werden. Habe OK geklickt, damit Combofix beendet werden konnte.

2. ESET Online Scanner im Internet Explorer funktioniert bei mir nicht. Ich stimme den Nutzungsbedingungen zu und klicke auf Start (in einem Popup) und dann passiert nichts mehr weiter.... Bin ich zu doof?

3. Als ich mein Antivirenprogramm abgeschaltet habe, um das Combofix zu machen, hat sich (natürlich) mein Wartungscenter gemeldet und als ich es angeklickt habe, sehe ich, dass da noch eine Meldung steht, die mir bisher entgangen ist und zwar folgende:

Zitat:

Lösen eines Problems bei PSI Key:
PSI Key hat 1 Mal aufgehört zu funktionieren, zuletzt am/um 28.09.2011 20:48 Zum Beheben dieses Problems befolgen Sie die Updateanweisungen

Ich weiß nicht, ob das was mit meinem Trojanerproblem zu tun hat. Wollte es aber noch mitteilen....

[Der Leo]

Hi,

das Combofix Log sieht soweit sauber aus.

Versuche ESET Online Scanner erneut auszuführen. Hast du auch Active X Steuerelemente Erlaubt? - Ansonsten bitte melden

Ich denke nicht das dein Problem mit dem PSI Key und der Malware zu tun hat. Schau bitte nach ob du Software von Corel installiert hast. Wenn ja und diese nicht in Verwendung ist einfach deinstallieren.

[Verzweifelte200]

Zitat:

Zitat von Der Leo

Versuche ESET Online Scanner erneut auszuführen. Hast du auch Active X Steuerelemente Erlaubt? - Ansonsten bitte melden

Hallo!

Habe es eben nochmals probiert (diesmal mit erlaubten Active X Steuerelementen) - aber leider wieder erfolglos. Bei mir passiert auch nicht das, was da auf der ESET-Seite unter Hilfe steht.

Ich dachte schon daran meinen IE upzudaten (habe Version 9.0.8112.16421IC), aber ich habe leider nicht herausgefunden wie....

Software von Corel habe ich, benutze ich aber gar nicht... werde ich gleich noch deinstallieren.

PS: Sagst du noch etwas zu Posting #12?